EmailPostDeliveryEvents

适用于:

  • Microsoft Defender XDR

EmailPostDeliveryEvents 高级搜寻架构中的表包含有关 Microsoft 365 处理的电子邮件的传递后操作的信息。 使用此参考来构建从此表返回信息的查询。

提示

有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。

若要获取有关单个电子邮件的详细信息,还可以使用 EmailEventsEmailAttachmentInfoEmailUrlInfo 表。 有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考

重要

某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

列名称 数据类型 说明
Timestamp datetime 记录事件的日期和时间
NetworkMessageId string 由 Microsoft 365 生成的电子邮件的唯一标识符
InternetMessageId string 发送电子邮件系统设置的电子邮件的面向公众的标识符
Action string 对实体执行的操作
ActionType string 触发事件的活动类型:手动修正、网络钓鱼 ZAP、恶意软件 ZAP
ActionTrigger string 指示操作是由管理员手动 (触发的,还是通过批准挂起的自动操作) 触发的,还是由某些特殊机制(如 ZAP 或动态交付)触发的
ActionResult string 操作的结果
RecipientEmailAddress string 收件人的电子邮件地址,或通讯组列表扩展后收件人的电子邮件地址
DeliveryLocation string 发送电子邮件的位置:收件箱/文件夹、本地/外部、垃圾箱、隔离区、已失败、已弃用、已删除的邮件
ThreatTypes string 电子邮件筛选堆栈中关于电子邮件是否包含恶意软件、网络钓鱼或其他威胁的判断
DetectionMethods string 用于检测电子邮件中发现的恶意软件、网络钓鱼或其他威胁的方法
ReportId string 基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。

支持的事件类型

此表捕获具有以下 ActionType 值的事件:

  • 手动修正 - 管理员在将电子邮件传递到用户邮箱后手动对邮件执行了操作。 这包括通过 威胁资源管理器 手动执行的操作,或批准 自动调查和响应 (AIR) 操作
  • 网络钓鱼 ZAP - 零小时自动清除 (ZAP) 在发送网络钓鱼电子邮件后采取措施。
  • 恶意软件 ZAP – 零小时自动清除 (ZAP) 在传递后发现包含恶意软件的电子邮件采取了操作。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区